Guardicore в России

Обзор платформы Guardicore Centra для защиты ЦОДов и облаков

Представляем израильскую компанию Guardicore — нового вендора в портфеле Тайгер Оптикс. Guardicore разрабатывает систему Guardicore Centra, предназначенную для визуализации, микросегментации и защиты современных ЦОДов, гибридных облачных сред и контейнеров.

В этой статье мы рассмотрим проблематику защиты ЦОДов, контейнеров и облаков, и то, как Guardicore Centra позволяет решать эту задачу. Система доступна для тестирования и продажи на всей территории России, СНГ и Грузии через авторизованных партнеров Тайгер Оптикс.

Проблематика защиты ЦОДов, гибридных облаков и контейнеров

Инфраструктура современных организаций быстро меняется, переходя от традиционной модели монолитного ЦОДа к облачной или гибридной архитектуре, сочетающей в себе множество платформ и моделей развертывания приложений. Эта трансформация помогает компаниям повысить гибкость бизнеса и снизить затраты на инфраструктуру, но также она создает и новую, более сложную поверхность для осуществления кибератак.

Злоумышленники в ответ на изменения архитектуры ЦОД модифицируют свое поведение и уделяют все больше внимания латеральному движению (east-west) между ресурсами внутри ЦОДа. Эти изменения делают традиционную концепцию сетевого периметра все менее актуальной, потому что каждый отдельный сервер может стать как потенциальной точкой запуска атаки, так и одной из целей на пути злоумышленника.

Платформа безопасности Guardicore Centra Security Platform — это комплексное решение для защиты центров обработки данных и облачных платформ, которое позволяет снижать поверхность атаки организации за счет простой и интуитивной реализации принципов микросегментации и нулевого доверия (Zero Trust). Кроме того, Guardicore Centra также позволяет выявлять, расследовать и реагировать на инциденты безопасности в периметре ЦОДа. 

Guardicore Centra обеспечивает глубокое понимание зависимостей и потоков трафика между приложениями ЦОДа, позволяет применять политики безопасности на уровне сети или процесса, что позволяет изолировать и сегментировать критически важные приложения и инфраструктуру.

Как работает Guardicore Centra

Guardicore Centra собирает подробную информацию об ИТ-инфраструктуре организации с помощью комбинации сенсоров-агентов, сетевых сенсоров и анализа журнальных файлов облачных провайдеров. Затем эта информация обогащается контекстом за счет гибкого автоматизированного процесса тегирования, который включает интеграцию с существующими источниками данных, например, системами оркестрации и базами данных управления конфигурациями (CMDB).

  • Виртуальные машины. Агенты Guardicore, работающие на виртуальных машинах, могут быть объединены с дополнительными сборщиками данных уровня гипервизора для сбора подробной информации о виртуализированных средах. Эта информация используется для создания детальных политик безопасности, которые применяются агентами Guardicore.
  • Облака. Агенты Guardicore работают в облачных инстансах, обеспечивая детальный мониторинг и контроль на основе политик. Guardicore предоставляет простой, унифицированный подход для визуализации и защиты приложений в гибридных облачных и мультиоблачных средах, включая поддержку широкого спектра операционных систем.
  • Физические машины. Агенты Guardicore совместимы с широким спектром операционных систем, от последних версий Linux и Windows до legacy операционных систем, таких как AIX и HP-UX. Это позволяет легко визуализировать и защищать такие серверы как отдельно, так и вместе с другими моделями развертывания приложений.
  • Контейнеры. Агенты Guardicore, работающие на нодах, обеспечивают видимость всего кластера контейнеров, включая потоки данных между подами и между подом и виртуальной машиной. Политики безопасности могут быть интегрированы с процессами DevOps и единообразно применяться в контейнерах и других моделях развертывания приложений.

Результатом является динамическая визуальная карта всей ИТ-инфраструктуры ЦОДов и гибридных облаков организации, которая позволяет специалистам по информационной безопасности просматривать активности в этих средах вплоть до уровня отдельного процесса как в режиме реального времени, так и в исторической перспективе. Полученные подробные сведения о поведении приложений можно использовать для быстрого создания детализированных политик микросегментации через интуитивно понятный визуальный интерфейс. 

«Guardicore позволяет нам улучшить общую стратегию защиты ЦОДов и помочь нашей команде по информационной безопасности избежать актуальных угроз».

Марино Агияр, CIO, Santander Brazil

Возможности микросегментации Centra также дополняются инновационным набором функционала для выявления и реагирования на инциденты безопасности.

Centra обеспечивает защиту всей инфраструктуры организации. Платформа защищает вычислительные ресурсы в гибридных средах в любой комбинации legacy-систем, физических серверов, виртуальных машин, контейнеров и инстансов в облаках Amazon AWS, Microsoft Azure и Google Cloud Platform.

 «Deutsche Bank придерживается самых высоких стандартов безопасности, и для нас первоочередной задачей является строгая сегментация сети в наших локальных и облачных средах. Guardicore дает нам эффективный способ защиты наших критически важных активов с помощью сегментации»

Алан Меирзон, Директор, Главное управление информационной безопасности, Deutsche Bank

Рассмотрим подробнее модули и возможности платформы.

Возможности Guardicore Centra

Визуализация

Guardicore Centra объединяет функционал мониторинга приложений и вычислительных ресурсов на уровне процессов с возможностями детального определения политик, позволяя специалистам по ИБ находить, визуализировать, контролировать и осуществлять мониторинг активности в ЦОДах и облачных средах. Благодаря лучшему пониманию приложений и взаимозависимостей организации могут заблаговременно внедрять более детальные политики ИБ и быстрее выявлять инциденты.

Визуализация приложений и потоков данных в Guardicore

После установки Guardicore Centra автоматически создает подробную визуальную карту активности во всех используемых средах. Активность на уровне процессов соотносится с сетевыми событиями, что дает администраторам визуальное представление обо всех вычислительных ресурсах. Администраторы могут получать более подробную информацию о конкретных активах, процессах и промежутках времени, что позволяет получать полное представление о связях внутри и между центрами обработки данных и облачными средами. Guardicore Centra также делает создание политик микросегментации, ориентированных на приложения, простым, быстрым и не требующим простоя или отключения сервисов.

Политики безопасности

После получения понимания об активностях в ЦОДе необходимо определить и применить корректные правила коммуникаций между приложениями и с внешним миром. Guardicore упрощает разработку и управление политиками микросегментации за счет удобного инструментария создания политик и управления ими. 

Политики микросегментации в Guardicore

Чтобы начать создавать политики, достаточно выбрать один из отображаемых коммуникационный потоков. Система сгенерирует автоматические предложенные правила, основанные на исторических наблюдениях, и поможет быстро создать соответствующую политику. Механизм анализа изменений и интуитивно понятный процесс модификации политик поддерживают непрерывную подстройку политик и сокращают число ошибок.

Выявление атак и расследование инцидентов

Для более быстрого выявления инцидентов Guardicore использует комбинацию из трех различных методов обнаружения: динамические обманные технологии, анализ репутации и обнаружение на основе политик. Эти методы распределены по всему центру обработки данных, централизованно управляются и выявляют инциденты практически в реальном времени по мере их возникновения.

  • Динамическая обманная технология ловит злоумышленников и вовлекает их в изолированную среду обмана с высоким уровнем интерактивности, отвлекая их от критических активов, и в то же время записывая их действия для дальнейшего анализа. 
  • Обнаружение на основе политик предупреждает аналитиков ИБ о нарушении предопределенных политик безопасности. 
  • Репутационный анализ выявляет угрозы на основе выявления подозрительных доменных имен, IP-адресов и хэшей файлов, связанных с известной вредоносной активностью. 

При совместном использовании эти методы могут значительно сократить время обнаружения инцидентов и предоставляют организациям детальную контекстную информацию, необходимую для быстрого и эффективного реагирования на угрозы.

Реагирование на угрозы

При выявлении инцидентов Centra позволяет одним щелчком мыши изменять политики сегментации для устранения нарушений трафика, а также инициировать действия на виртуальных машинах – ставить на паузу, останавливать, отключать или делать снепшоты машин для предотвращения распространения атаки и минимизации ущерба, в том числе при атаках криптолокерами. 

Карточка инцидента в Guardicore

Система также позволяет автоматически экспортировать индикаторы компрометации в шлюзы безопасности, SIEM-системы и прочие СЗИ.

Расследования и форензика

Centra собирает весь отпечаток атаки, в том числе ее источник, файлы и различные инструменты злоумышленника, а также используемые техники. Основываясь на этих данных, Guardicore проводит автоматическую классификацию атаки по типу, а также и экспертизу для выявления методов злоумышленников, тактики распространения и группировки схожих инцидентов.

Экран форензики в Guardicore

Данные об инцидентах представлены в Guardicore в удобочитаемой форме и включают форензику, в том числе индикаторы компрометации, соответствующие артефакты и идентификационные характеристики атакующих злоумышленников и ботов.

Мониторинг целостности файлов (File Integrity Monitoring, FIM)

Многие стандарты и требования ИБ, в том числе PCI DSS и HIPAA, требуют отслеживать целостность файлов в качестве внутреннего контроля, который должен быть развернут для защиты критически важных сегментов организации. 

Используя легковесный агентский модуль, Centra выполняет периодические проверки целостности для выявления изменений файлов в облачных средах и средах центров обработки данных. Функционал FIM имеет низкую нагрузку на процессор и не влияет на производительность.

Польза внедрения Guardicore

Внедрение Guardicore Centra позволяет достичь множества преимуществ и помочь со следующими задачами:

  • Предотвращение латерального движения в ЦОДе и облаках
  • Защита наиболее ценных и критических сегментов ЦОДа
  • Быстрое достижения соответствия регуляторным требованиям в новых гетерогенных средах (физика, виртуальные среды, контейнеры, облака и пр.)
  • Безопасный переход в гибридные облака и использование PaaS
  • Защищенный доступ удаленных сотрудников, подрядчиков и партнеров к критическим приложениям
  • Возможность быстрого и безопасного воплощения инноваций

Онлайн-презентация и демонстрация Guardicore состоятся 10 декабря в 11:00, время московское.

Вы также можете заказать индивидуальную демонстрацию или тестирование Guardicore Centra по ссылке ниже.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибер-безопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://tiger-optics.ru.